Com os grupos de configuração,você pode aplicar níveis de acesso baseado no contexto a grupos de usuários em vez de a unidades organizacionais. Os grupos de configuração podem incluir usuários de qualquer unidade organizacional na sua empresa. Por exemplo, você pode permitir que uma equipe de prestadores de serviço acesse o Gmail apenas na sua rede corporativa.
Como os grupos de configuração funcionam
- Os grupos de configuração podem conter qualquer usuário da organização. Além disso, você pode criar um grupo de configuração que sirva como contêiner para os níveis de acesso, depois adicionar seus grupos de usuários (aninhados).
- Um usuário pode pertencer a vários grupos de configuração, ao contrário das unidades organizacionais. Você define a prioridade dos grupos de configuração, e o usuário recebe a configuração do grupo com a prioridade mais alta a que ele pertence.
- Em um app, o nível de acesso de um usuário ao grupo sempre modifica o nível de acesso da unidade organizacional.
- Se um grupo de configuração não especificar um nível de acesso para um app, o app usará o nível de acesso definido pela unidade organizacional do usuário.
Criar grupos de configuração para o acesso baseado no contexto
Os grupos de configuração funcionam de forma um pouco diferente no acesso baseado no contexto em comparação com outras configurações do Google Workspace. Ao projetar seus grupos e políticas, siga estas informações e dicas:
Opções para grupos de configuração
Geralmente, você define os níveis de acesso para as unidades organizacionais e depois determina os níveis de acesso personalizados para os grupos de configuração. Por exemplo, você pode ter grupos de configuração com "Acesso aberto" ou "Acesso bloqueado". Assim é possível conceder ou limitar rapidamente o acesso de usuários específicos.
Geralmente, você usa uma combinação de grupos de configuração:
Usar os grupos de usuários já existentes
Você define o nível de acesso para cada app (Gmail ou Google Drive, por exemplo) no grupo de usuários. Se um usuário pertencer a vários grupos, defina qual deles determinará as configurações desse usuário (descritas na seção Prioridade).
A aplicação de níveis de acesso diretamente aos grupos de usuários é uma boa opção para:
- teste de acesso com base no contexto.
- gerenciamento de acesso de grupos específicos de usuários, como a equipe de TI ou a equipe de um projeto a distância.
- Gerenciar o acesso para organizações com menos de 50 usuários ou com um pequeno número de níveis de acesso. Você não precisa criar mais grupos e pode ajustar as configurações para cada grupo de usuários.
Criar grupos de configuração com base nos níveis de acesso
Também é possível atribuir níveis de acesso a grupos. Você cria um grupo de configuração e atribui níveis de acesso a um ou mais apps. Em seguida, adicione grupos de usuários como membros do grupo de configuração.
Organizações maiores podem considerar essa abordagem útil para gerenciar políticas e prioridades de grupos de acesso (descritas abaixo).
Como funciona a prioridade com níveis de acesso
Quando um usuário pertence a vários grupos de configuração, você define qual deles tem prioridade para determinar o acesso do app.
No Google Admin Console, você deve primeiro selecionar um aplicativo para exibir a lista de prioridades de grupo correspondente. Os grupos são listados da prioridade mais alta para a mais baixa. Um novo grupo de configuração sempre tem a prioridade mais baixa e é adicionado ao fim de uma lista de grupos de configuração.
Prioridade para o Acesso baseado no contexto
Um usuário recebe as configurações do app do grupo de maior prioridade a que ele pertence. Se o grupo não tiver um nível de acesso para um app específico, será usado o nível de acesso do próximo grupo de prioridade mais alta do usuário e assim por diante.
No Admin Console, você pode verificar qual grupo ou unidade organizacional determinou o nível de acesso de um usuário ao app. No exemplo abaixo, o grupo Segurança do Drive definiu o acesso ao Drive do usuário.
| Apps do usuário | Níveis de acesso | Configuração herdada de |
|---|---|---|
 Google Agenda |
Rede da empresa | Unidade organizacional: vendas |
 Drive |
Rede da empresa, Segurança do dispositivo | Grupo: Segurança do Drive |
 Gmail |
Segurança do dispositivo | Unidade organizacional: vendas |
 Google Vault |
<nenhum> | <nenhum> |
Para ter um controle preciso, você pode usar grupos e personalizar os níveis de acesso de cada app. Por exemplo:
| Apps do usuário | Níveis de acesso | Herdado de |
|---|---|---|
|
Agenda |
Rede da empresa | Unidade organizacional: vendas |
|
Drive |
Rede da empresa, Segurança do dispositivo | Grupo: Segurança do Drive |
|
Gmail |
Segurança do dispositivo, Geo Canadá | Grupo: América do Norte |
|
Vault |
Dispositivo restrito, Rede da empresa | Grupo: Investigador do Vault |
Aplicar prioridade a grupos de configuração
- Recomendamos definir os grupos de configuração fundamentais ou restritos com prioridade alta. Por exemplo, seu grupo de prioridade máxima pode ser um grupo de "Acesso urgente" que modifica todos os grupos com acesso limitado.
-
Os níveis de acesso não são adicionados aos grupos de um usuário. Neste exemplo, um usuário pertence a três grupos de usuários, mas apenas o grupo de configuração de maior prioridade "Dispositivo" define o nível de acesso.
Planejamento e elaboração de grupos de configuração
O planejamento da estrutura de grupos de configuração provavelmente é a etapa mais demorada.
Como nomear e pesquisar grupos
Defina um padrão de nomenclatura de grupo para facilitar a pesquisa, a priorização e a auditoria. Por exemplo, adicione um prefixo como caa (context-aware access, em inglês) para indicar o grupo de configuração com base no contexto. Use também uma casa decimal para não alterar os nomes dos grupos ao adicionar um grupo de configuração.
 |
|
Pesquisar por endereço de grupo
Acessar lista de grupos- Pesquisar um grupo:é recomendável definir um padrão de nomenclatura que inclua o nome da configuração e o número da prioridade, por exemplo:
caa_p0.0_acesso_irrestrito@example.com
caa_p1.0_acesso_bloqueado@example.com
caa_p3.0_Dispositivo_Gmail_IP@example.com
caa_p3.1_Gmail_IP@example.com
- Visualizar os grupos:o painel "Grupos" mostra o nome do grupo (máximo de 37 caracteres) na ordem de prioridade. Passar o cursor sobre um grupo mostra o nome completo. Exemplo:
CAA p0.0 - Acesso irrestrito a todos os apps
CAA p1.0 - Acesso bloqueado
CAA p3.0 - Gmail IP corp e segurança do dispositivo
CAA p3.1 - Gmail IP corp
Ordenar grupos
Para acompanhar a prioridade e as configurações:
- Você pode colocar com a prioridade mais alta os grupos que se aplicam ao menor número de usuários ou definir políticas fundamentais (como "Acesso bloqueado" ou "Acesso total").
- Considere a prioridade na estrutura de grupo e observe grupos aninhados em muitos níveis, o que pode dificultar o controle das configurações.
Criar grupos
É preciso usar os grupos criados no Admin Console, na API Directory ou no Google Cloud Directory Sync. Os grupos criados no Grupos do Google não podem ser usados como grupos de configuração. O Admin Console não mostra se um grupo foi criado no serviço Grupos do Google.
Você pode gerenciar o grupo de configuração em qualquer ferramenta. Você pode definir permissões restritas para adicionar ou excluir usuários, desativar postagens no grupo ou impedir que usuários saiam do grupo (disponível apenas na API Groups).
Definir grupos de configuração
Antes de começar:defina os níveis de acesso com base no contexto e crie seus grupos de configuração (de preferência com uma ou duas contas de teste).
Etapa 1: Aplicar um grupo de configuração
Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento do nível de acesso de segurança de dados e Gerenciamento de regras.
-
No Google Admin Console, acesse Menu
Segurança
Controle de acesso e dados
Acesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- Clique em Atribuir níveis de acesso para ver a lista de apps.
- Na seção Acesso baseado no contexto, clique em Grupos.
- Escolha uma opção:
- Clique em um app. Todos os grupos de configuração com um nível de acesso atribuído ao seu app são listados em ordem de prioridade.
- Clique em Pesquisar um grupo para ver uma lista com todos os grupos, não apenas os grupos de configuração. É possível inserir texto para filtrar os resultados.
- Clique no grupo. A tabela de aplicativos lista todos os aplicativos com as atribuições de nível de acesso deles.
- Se você não encontrar o grupo, é porque talvez ele tenha sido criado no Grupos do Google. Crie esses grupos de configuração no Admin Console, na API Directory ou no Google Cloud Directory Sync.
- Primeiro, adicione os grupos de configuração da prioridade mais alta para a mais baixa. Quando você adiciona uma nova política de grupo para um app, ela é colocada na prioridade mais baixa.
- Clique em um ou mais apps e em Atribuir.
- Selecione os níveis de acesso do app no grupo e clique em Salvar. Por padrão, um novo grupo não tem níveis de acesso atribuídos.
Para organizações com vários tipos de licenças do Google Workspace: os níveis de acesso do grupo se aplicam apenas aos usuários atribuídos a uma edição do Google Workspace que inclui o controle de acesso baseado no contexto.
Etapa 2. Verificar os níveis de acesso de um usuário
Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento de nível de acesso de segurança de dados e Gerenciamento de regras.
-
No Google Admin Console, acesse Menu
Segurança
Controle de acesso e dados
Acesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- No Admin Console, acesse a página de configurações do app.
- No canto superior esquerdo, clique em Usuários.
- Clique em Selecionar um usuário e digite o endereço dele (não o nome).
- Selecione o usuário para ver as configurações do app. A coluna Configuração herdada de mostra o grupo de configuração ou a unidade organizacional que determinou as configurações do usuário.
- Passe o cursor sobre um app e clique em Visualizar para ver detalhes sobre os níveis de acesso do usuário.
Observação: quando você visualiza uma unidade organizacional, os níveis Herdado são baseados apenas na configuração de uma unidade organizacional, não nos grupos de configuração.
Remover um grupo de configuração
Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento de nível de acesso de segurança de dados e Gerenciamento de regras.
-
No Google Admin Console, acesse Menu
Segurança
Controle de acesso e dados
Acesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- Clique em Atribuir níveis de acesso para ver a lista de apps.
- À esquerda, clique em Grupos.
- Clique no grupo a ser removido.
- Primeiro, cancele a atribuição de todos os níveis de acesso de todos os aplicativos no grupo. No painel Apps, verifique cada aplicativo individualmente para garantir que todos os níveis de acesso estejam atribuídos.
- Clique em Atribuir.
- Clique em Desmarcar todos
- Clique em Salvar.
Editar um grupo de configuração
Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento de nível de acesso de segurança de dados e Gerenciamento de regras.
-
No Google Admin Console, acesse Menu
Segurança
Controle de acesso e dados
Acesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- Clique em Atribuir níveis de acesso para ver a lista de apps.
- À esquerda, clique em Grupos.
- Pesquise o grupo para editar.
- À direita, selecione apps para editar, adicionar ou remover.
- Clique em Atribuir.
- Atualize as atribuições de nível para o grupo.
- Clique em Salvar.
Solução de problemas
O grupo de configuração não aparece na lista "Grupos"
- O grupo talvez tenha sido criado no Grupos do Google. Tente criar um grupo no Admin Console.
- Pesquise o endereço de e-mail do grupo em vez do nome.
- Atualize a página de configuração. As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
- Confirme que você tem privilégios de administrador para o Grupos.
Um usuário não tem o nível de acesso correto
- Verifique a associação do usuário ao grupo. As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
- Encontre o grupo de configuração que determina as configurações do usuário. Se o usuário pertence a vários grupos de configuração, talvez você precise alterar a prioridade do grupo ou a associação do usuário ao grupo.
- Talvez o usuário não tenha a licença de produto necessária para o recurso. O acesso baseado no contexto está disponível em algumas edições do Google Workspace.
- Se o usuário não puder acessar um app, talvez o nível de acesso do app seja "excluído". Marque remover um nível de acesso excluído.
Conferir as alterações no Registro de auditoria
Analise estes eventos no Registro de auditoria do administrador para ver as alterações nas configurações do grupo:
EVENTO: alteração das atribuições do nível de acesso com base no contexto de um app específico
|
Registra quando você aplica ou remove um grupo de configuração. O evento usa o nome do grupo, para que você possa usar um padrão de nomenclatura semelhante para o nome e o endereço do grupo. Os dados incluídos em um evento de grupo:
Por exemplo, você aplica o grupo de configuração acesso local CAA.02 a um app:
Quando você remove o grupo de configuração de um app:
|
Entender as unidades organizacionais e a herança de grupos e os grupos de configuração
Se você alterar um nível de acesso local em uma unidade organizacional filha ou grupo, ela vai ter apenas os níveis de acesso aplicados localmente e não vai herdar os da organização mãe.
Se você remover todos os níveis de acesso atribuídos localmente para restaurar os níveis de acesso herdados originalmente, a unidade organizacional filha vai ter somente os níveis de acesso herdados.
Por exemplo, se houver três níveis de acesso atribuídos a um app na unidade organizacional de nível superior, eles vão ser herdados pelo app em uma unidade organizacional filha se ela não tiver localização atribuição. Se você adicionar um nível de acesso somente na unidade organizacional filha, esse será o único nível de acesso aplicado a ela.
Modificar as atribuições de nível de acesso herdado com uma política nula
Digamos que você não queira bloquear o acesso dos usuários em uma unidade organizacional filha, ou seja, não queira atribuir níveis de acesso. É possível criar um nível de acesso com a expressão avançada true. Para mais detalhes, acesse Definir níveis de acesso: modo avançado.
Modificar atribuições de nível de acesso com grupos de configuração
Você pode usar grupos de configuração para atribuir níveis de acesso a grupos de usuários em vez de unidades organizacionais. O nível de acesso do grupo de um usuário sempre substitui o nível de acesso da unidade organizacional do usuário. Os grupos podem incluir usuários de qualquer unidade organizacional na sua conta.
Por exemplo, um usuário pertence a uma unidade organizacional e ao Grupo 1. A unidade organizacional é ParentOU, que tem o nível de acesso X atribuído ao Gmail e ao Google Agenda. Não há atribuição de nível de acesso para o Group1 do Gmail. Há um nível de acesso Y atribuído ao Grupo 1 do Google Agenda. Nesse caso, o usuário tem o nível de acesso X atribuído ao Gmail (herdado) e Y atribuído ao Google Agenda (pela substituição da política local).